自定义ME MDM应用

iOS

安全设置

关于识别越狱设备

越狱设备为用户提供了额外的功能,这使得设备对企业使用不安全。因此,必须从这些设备中删除公司数据。MDM在登记和每次扫描时识别越狱设备。检测到越狱设备后,登记失败或设备被从管理中移除(如果之前管理过该设备)。

分发ManageEngine MDM应用到被管的iOS设备

ManageEngine MDM应用需要检测越狱设备、分发文档、远程查看设备屏幕和跟踪被管理设备的位置。默认开启“将ME MDM应用分发到被管iOS设备”选项,确保所有被管iOS设备上都安装了ManageEngine MDM应用。如果需要,您还可以配置邮件模板来分发应用程序。此外,还可以使用ManageEngine MDM应用程序保护电子邮件附件的安全,请参阅 这里

注意:如果用户还没有登录到设备上的iTunes帐户,那么ManageEngine MDM应用程序将在应用程序目录中可用。用户应该输入他们的iTunes凭证来完成应用程序的安装。安装ManageEngine MDM应用后,应用目录将从设备中移除。

安卓

当需要管理安卓设备时,需要配置MDM应用。该应用程序安装在所有受管理的安卓设备中。您可以自定义以下内容:

  1. 安全设置

  2. 配置文件设置

  3. ME MDM应用设置

  4. ME MDM应用换标

  5. 配置通信方式
  6. ME MDM应用下载方式

安全设置

删除设备的情况

管理员可以使用以下设置,以确保如果设备被破坏,企业数据从设备中删除。在登记期间和每次扫描期间都要检查设备,如果发现设备不符合下面选择的选项,则将解除设备,并从设备中删除数据。如果在登记过程中检查设备,将导致设备登记失败。

  1. 已Root
  2. 基本完整性检查失败
  3. 谷歌认证失败

已Root

已Root设备为用户提供了额外的控制,如删除由MDM分发的配置文件或从MDM中删除设备。因此,对于组织来说,允许已Root设备访问公司数据是不安全的,因为这可能导致数据泄露。MDM 识别已Root设备 选择此选项后,将这些设备从管理中删除。从管理中移除设备也会从设备中移除企业数据。

基本完整性检查失败

安卓的基本完整性检查监控设备是否已Root、虚拟设备或包含一个虚拟ROM,如果以上任何一个条件为真,设备的基本完整性检查失败。在登记过程中,如果设备基本完整性检查不合格,设备将不被登记。如果登记的设备没有通过基本完整性检查,该设备将从管理中移除,数据将从设备中移除。

谷歌认证失败

谷歌基于其 兼容性测试套件 对设备进行认证,其中包含了谷歌对企业设备认证的基本要求。如果选择此选项,设备将登记只有他们通过谷歌认证。这里 是谷歌认证设备的详尽列表。

注意:谷歌认证还检查设备的基本完整性。但是,当选择基本完整性检查时,设备可能通过基本完整性检查,但不能通过谷歌认证。

配置文件设置

每次您将带有一些策略和限制的配置文件分发到某些设备时,终端用户都会被通知接受该策略。这可以通过指定最终用户接受策略的时间限制来自定义。如果该策略没有在指定的时间内安装,则该策略将被移动到“违反策略”。如果用户接受该策略,则将其移动到实施的策略。 如果 密码 策略已下发到设备,且在指定的时间内未按照配置的策略设置密码,则设备中除ME MDM应用、设置和启动器应用外的所有应用都将被禁用。用户设置密码后,禁用的应用程序将被启用。这是为了在违反公司策略时保护公司数据。

管理ME MDM应用

您可以自定义ME MDM应用程序设置,如允许用户删除应用程序,对管理设备隐藏应用程序,等等。

  1. 允许用户删除ME MDM应用

  2. 隐藏设备上的ME MDM应用

  3. “撤销管理”密码

允许用户删除ME MDM应用

如果用户从设备中删除了ME MDM应用程序,该设备将成为非被管设备,即IT管理员不能再管理用户的设备,因为设备管理必须使用ME MDM应用程序。如果您仍然希望允许用户删除MDM应用程序,您也可以配置一个告警,当用户试图删除MDM应用程序时,将显示该告警。不适用于配置为配置文件所有者(工作配置文件)的设备。

您可以限制用户删除ME MDM应用程序。支持运行5.0或更高版本的安卓设备,设备应该配置为设备所有者。对于通过DEP登记的设备,可以限制用户删除ME MDM应用程序,请参阅 这里

隐藏设备上的ME MDM应用

您可以选择在被管设备中隐藏ME MDM应用。在这种情况下,用户无法打开ME MDM应用,访问应用内部的应用目录,也就无法下载通过应用目录分发的应用。

通常情况下,当设备未被管理时,用户可以手动删除设备中存在的ME MDM应用程序。包括所有的配置文件和应用程序数据被自动删除。但在某些情况下,如果您从设备管理中删除了一个设备,当设备上隐藏了ME MDM应用程序时,由于服务器连接问题,该应用程序不会从设备中删除。为了避免这些问题,可以参考以下几点:

  1. 取消“隐藏ME MDM应用”设置,在取消对已登记设备的管理之前,让ME MDM应用在设备上可见。或
  2. 在移动设备上访问URL memdm://open,然后点击链接 '打开',使得ME MDM应用在设备上可见。

现在,使用 “撤销管理”密码 禁用ME MDM应用的设备管理员权限然后删除。

“撤销管理”密码

按照以下步骤设置“撤销管理”密码:

  1. 在Web控制台中,在 登记 选项卡下,选择左侧栏 Android 下的 ME MDM应用
  2. 在给出的字段中指定“撤销管理”密码

“撤销管理”密码可用于以下场景:

  1. 当需要 暂时禁用用户设备上的Kiosk方式 时,可以使用“撤销管理”密码。
  2. 您设置的撤销管理密码,可用于禁用用户所在设备上的设备管理员。当您无法使用“删除设备”操作取消登记设备时,此密码特别有用。当服务器出现连接问题时,无法禁用设备管理员权限和删除设备上的ME MDM应用。只有禁用了“ME MDM应用的设备管理员权限”,用户才能很容易地将该应用从设备中移除。
  3. 如果隐藏了ME MDM应用,请参阅 这里 了解如何撤销管理。

  4. 要在设备上输入“撤销管理”密码,首先单击ME MDM应用图标,然后在可以看到应用程序名称的顶部窗格中单击4次。出现密码提示对话框,可以输入密码。

默认情况下,“撤销管理”密码已经设置,可以点击 图标查看。

ME MDM应用换标

如果您希望将您的企业logo作为ME MDM应用的图标,或者将ME MDM应用重命名,则可以使用该功能。MDM应用可以换标、可以重命名应用的显示名、可以修改应用图标,甚至可以定制启动屏幕图像。按照以下步骤重新命名ME MDM应用:

  1. 在Web控制台中,选择 管理 选项卡并点击 重新命名
  2. 在这里,您可以更改显示在服务器和网站链接的logo。
  3. 要进行与应用程序相关的更改,请单击 登记 选项卡并从左侧栏的 安卓 下选择 ME MDM应用
  4. 在这里,您可以改变应用的logo,应用的名称和应用的启动界面。

现在您可以看到ME MDM应用已根据您的选择重命名。

配置通信方式

您可以选择以下通信方式之一,以便在MDM服务器和被管移动设备之间进行有效通信。

  1. 即时方式
  2. 周期方式

即时方式
当服务器-设备通信有不间断的互联网访问时,您可以选择这种通信方式。MDM服务器和被管移动设备之间的所有通信都将通过Firebase Cloud Messaging(FCM)立即进行。

在选择即时方式时,您应该选择 Google Play StoreMDM服务器 下载 ME MDM应用 用于设备登记。

  1. 建议从Google Play Store下载ME MDM应用。
  2. 当使用Google Play Store受到限制,或者设备未登记且没有连接谷歌帐号时,您可以选择直接从MDM服务器下载ME MDM应用。

周期方式(在公司网络/Wi-Fi中登记设备)

周期方式是即时方式的另一种选择,当您的组织内部公共互联网访问有限或无法访问谷歌应用程序或服务时,它是MDM服务器和移动设备之间通信的首选方式。在这种方式下,被管理的移动设备每60分钟与MDM服务器通信一次,因此不可能立即执行远程锁定、彻底清除等按需操作。
选择此选项后,用于设备登记的ME MDM应用,默认只能从 MDM服务器 下载。

  1. 建议不要频繁切换即时方式和周期方式,以避免服务器与被管理移动设备之间的通信出现问题。
  2. 当从周期方式切换到即时方式作为首选通信方式时,需要检查是否有互联网接入,以及移动设备是否已向谷歌登记,即是否有一个与之相连的谷歌帐户。

ME MDM应用下载方式

作为登记的一部分,每个设备都需要下载ME MDM应用。ME MDM应用可以从Google Play Store或MDM服务器下载。您可以选择配置应该从中进行下载的方式。您可以通过以下步骤进行配置:

  1. 在Web控制台中,点击 登记
  2. 安卓 下点击 ME MDM应用
  3. 在分发 ME MDM应用 设置下,选择用户下载ME MDM应用的方式。您可以选择从Google Playstore或MDM服务器下载。
  4. Click Save Changes

    如果选择周期方式,则必须确保服务器可访问端口8020/9020,以便用户启动下载。

您已成功配置了ME MDM应用的下载方式。

Windows

允许用户删除MDM工作空间帐户

当用户不再需要该设备或离职时,有必要从移动设备中删除企业的所有详细信息。启用该选项后,用户可以在设备上删除MDM工作空间账户。
如果允许用户从设备中删除MDM工作空间账户,则删除该账户后,设备将不受管理。因此,建议禁用此选项。

通信类型

您可以选择以下通信方式之一,以便在MDM服务器和被管移动设备之间进行有效通信。

  1. 即时方式(WNS)
  2. 周期方式

即时
当服务器-设备通信有不间断的互联网访问时,您可以选择这种通信方式。MDM服务器和被管移动设备之间的所有通信都将通过Windows Notification Service(WNS)立即进行。

周期方式(在公司网络/Wi-Fi中登记设备)

周期方式是即时方式的另一种选择,并且是MDM服务器和移动设备之间通信的首选方式,如果您的组织内部公共互联网访问有限制,或者该组织具有严格的安全标准。在这种方式下,被管移动设备每60分钟与MDM服务器通信一次,因此不可能立即执行远程锁定、彻底清除等按需操作。

  1. 建议不要频繁切换即时方式和周期方式,以避免服务器与被管理移动设备之间的通信出现问题。
  2. 当您将周期方式切换为即时方式作为首选通信方式时,有必要检查是否有互联网接入。.

如果允许用户从设备中删除MDM工作空间账户,则删除该账户后,设备将不受管理。因此,建议禁用此选项。

版权所有 © 2021, 卓豪(中国)技术有限公司。保留一切权利。
ManageEngine卓豪 - IT管理 新体验